El nacional de EE. UU. La Agencia de Seguridad Nacional está comprando grandes cantidades de datos de navegación web disponibles comercialmente sobre estadounidenses sin orden judicial, según el director saliente de la agencia.
El director de la NSA, general Paul Nakasone, reveló la práctica en una carta al senador Ron Wyden, un halcón de la privacidad y demócrata de alto rango en el Comité de Inteligencia del Senado. Wyden publicó la carta el jueves.
Nakasone dijo que la NSA compra «varios tipos» de información a intermediarios de datos «para fines de inteligencia extranjera, ciberseguridad y misiones autorizadas», y que algunos de los datos pueden provenir de dispositivos «utilizados fuera -y en ciertos casos, dentro- de los Estados Unidos». Estados Unidos”.
«La NSA compra y utiliza datos de flujo de red disponibles comercialmente relacionados con comunicaciones por Internet totalmente nacionales y comunicaciones por Internet en las que un lado de la comunicación es una dirección de Protocolo de Internet de EE. UU. y el otro está ubicado en el extranjero», dijo Nakasone en la carta.
Los registros de Netflow contienen información sin contenido (también conocida como metadatos) sobre el flujo y el volumen del tráfico de Internet a través de una red, lo que puede revelar de dónde provienen las conexiones de Internet y qué servidores pasaron datos a otros. Los datos de Netflow se pueden utilizar para rastrear el tráfico de actividad de la red a través de VPN y pueden ayudar a identificar servidores y redes utilizados por piratas informáticos malintencionados.
La NSA no dijo a qué proveedores compra registros de Internet disponibles comercialmente.
En una carta de respuesta a la Oficina del Director de Inteligencia Nacional (ODNI), que supervisa la comunidad de inteligencia estadounidense, Wyden dijo que estos metadatos de Internet «pueden ser igualmente sensibles» que los datos de ubicación vendidos por corredores de datos por su capacidad para identificar a los estadounidenses. actividad privada en línea.
“Los registros de navegación web pueden revelar información confidencial y privada sobre una persona en función de dónde accede en Internet, incluida la visita a sitios web relacionados con recursos de salud mental, recursos para sobrevivientes de agresión sexual o abuso doméstico, o visitar un proveedor de telesalud que se centra en el nacimiento. medicamentos de control o abortivos”, dijo Wyden en un comunicado.
Wyden dijo que se enteró de la recopilación de registros nacionales de Internet por parte de la NSA en marzo de 2021, pero no pudo compartir la información públicamente hasta que fue desclasificada. Como miembro del Comité de Inteligencia del Senado, Wyden puede recibir y leer materiales clasificados, pero no puede compartirlos públicamente. La NSA levantó las restricciones después de que Wyden suspendiera el nombramiento del próximo director de la NSA, dijo el senador.
La práctica de la comunidad de inteligencia estadounidense de comprar grandes conjuntos de datos disponibles comercialmente a intermediarios de datos privados, si bien no es nueva, no se reveló públicamente hasta junio de 2023. La ODNI no reveló qué agencias de espionaje estadounidenses estaban comprando los datos, ni dijo si sabía . Según admitió él mismo, la ODNI dijo en ese momento que los datos adquiridos comercialmente “claramente proporcionan valor de inteligencia”, pero “plantean cuestiones importantes relacionadas con la privacidad y las libertades civiles”.
La NSA no es la única agencia del gobierno estadounidense que depende de datos adquiridos comercialmente para la recopilación de inteligencia o investigaciones. Informes anteriores muestran que la Agencia de Inteligencia de Defensa compró acceso a una base de datos comercial que contiene datos de ubicación de estadounidenses en 2021 sin orden judicial. El Servicio de Impuestos Internos también utilizó datos de ubicación que compró a un corredor de datos para identificar a los sospechosos, al igual que el Departamento de Seguridad Nacional para rastrear a los inmigrantes indocumentados, sin orden judicial en ambos casos.
Pero el uso de datos comerciales por parte de la comunidad de inteligencia estadounidense plantea dudas sobre la legalidad de la práctica, en un momento en que la NSA se enfrenta al escrutinio del Congreso por sus poderes de vigilancia legal que están a punto de expirar y a una amonestación indirecta desde dentro del gobierno federal.
En su carta a la ODNI, Wyden citó la reciente acción coercitiva de la Comisión Federal de Comercio contra los corredores de datos como planteando “serias dudas sobre la legalidad” de que las agencias gubernamentales compren el acceso a los datos de los estadounidenses.
A principios de este mes, la FTC prohibió a X-Mode, un prolífico intermediario de datos que compartía los datos de ubicación de los usuarios de aplicaciones de oración musulmana con contratistas militares, vender datos de ubicación de teléfonos y ordenó a la empresa que eliminara los datos que había recopilado. Una semana después, la FTC emprendió una acción similar contra InMarket, otro corredor de datos, diciendo que la compañía no obtuvo el consentimiento explícito de los usuarios antes de recopilar sus datos de ubicación, y prohibió al corredor de datos vender datos de ubicación precisos de los consumidores.
Eso coloca a los departamentos y agencias gubernamentales que utilizan datos obtenidos comercialmente, como la NSA, en un espacio legal gris.
Cuando se contactó por correo electrónico el viernes, la portavoz de la FTC, Juliana Gruenwald Henderson, dijo que el regulador no tenía comentarios sobre el uso de datos comerciales por parte de la NSA.
Las agencias gubernamentales normalmente tienen que obtener una orden judicial antes de obtener datos privados sobre los estadounidenses de un teléfono o una empresa de tecnología. Pero las agencias estadounidenses han eludido este requisito argumentando que no necesitan una orden judicial si la información, como registros de ubicación precisos o datos de flujo de red, está abiertamente a la venta a cualquiera que quiera comprarla, aunque esta teoría legal sigue sin ser probada en los tribunales estadounidenses.
Por su parte, la NSA dijo en su carta a Wyden que “no tenía conocimiento de ningún requisito en la ley u opinión judicial estadounidense”. . . eso [the Department of Defense] obtener una orden judicial para adquirir, acceder o utilizar información, tal como [commercially available information]que está igualmente disponible para su compra por adversarios extranjeros, empresas estadounidenses y personas privadas como lo está por el gobierno de Estados Unidos”.
Wyden pidió a la ODNI que implemente una política que sólo permita a las agencias de espionaje estadounidenses comprar datos sobre estadounidenses que cumplan con el estándar de la FTC para ventas legales de datos; en caso contrario la agencia deberá eliminar los datos. Wyden dijo que si una agencia de espionaje estadounidense tiene una necesidad específica de retener los datos, al menos debería informar al Congreso, si no al público en general.
No está claro si la NSA también compra acceso a bases de datos de ubicación, como lo han hecho otras agencias del gobierno federal.
Nakasone dijo en su carta a Wyden que la NSA no compra ni utiliza datos de ubicación recopilados de teléfonos o vehículos «que se sabe que están ubicados en los Estados Unidos», dejando abierta la interpretación de que la NSA podría adquirir datos disponibles comercialmente si no se supiera que provienen de dispositivos estadounidenses.
Cuando se le contactó por correo electrónico, el portavoz de la NSA, Eddie Bennett, confirmó que la NSA recopila datos de flujo de red de Internet disponibles comercialmente, pero se negó a aclarar o comentar sobre los comentarios de Nakasone.
Puede comunicarse con Zack Whittaker por Signal al +1 646.755.8849 o por correo electrónico. También puede compartir archivos y documentos con TechCrunch a través de nuestro SecureDrop.